Puede configurar IBM® App Connect Enterprise para que funcione como cliente de un servicio protegido por Kerberos, con el fin de garantizar la integridad, la confidencialidad y la autenticidad de los mensajes.
Antes de empezar
Debe tener acceso a un Centro de distribución de claves (KDC) y a un servidor que
aloje el servicio. Para obtener más información sobre la configuración de Kerberos, consulte la documentación de Kerberos del host.
Procedimiento
- Establezca las credenciales de usuario que se utilizan para autenticarse con el
KDC.
- Puede configurar las credenciales a nivel de nodo de integración emitiendo un mqsisetdbparms. Por ejemplo:
mqsisetdbparms integrationNodeName -n SPN::realm -u username -p password
- También puede establecer las credenciales de usuario en el nivel del servidor de integración.Por ejemplo, puede establecer un dominio específico en cualquier servidor de integración con
mqsisetdbparms integrationNodeName -n kerberos::realm1::integrationServerName -u clientId -p password
- También puede utilizar el árbol de Propiedades para establecer las credenciales
utilizando el siguiente ESQL en un nodo Compute:
SET OutputRoot.Properties.IdentitySourceType = 'usernameAndPassword';
SET OutputRoot.Properties.IdentitySourceToken = Username;
SET OutputRoot.Properties.IdentitySourcePassword = Password;
- Cree un archivo de configuración de Kerberos. El cliente puede autenticarse con el KDC, utilizando el archivo de configuración.
Para obtener más información sobre la WS-Security basada en Kerberosque está soportada en nodos SOAP, consulte Seguridad de flujos de mensajes y perfiles de seguridad.
Cuando se utiliza Kerberos para la seguridad, el archivo de configuración de Kerberos predeterminado es el de la estación de trabajo. La ubicación del archivo de configuración varía en función del sistema. Las ubicaciones habituales son:
- Para Windows
-
C:\Windows\krb5.ini y C:\WINNT\krb5.ini
- Para Linux® -
/etc/krb5.conf , UNIX (AIX®) /etc/krb5/krb5.conf
- Para z/OS® -
/krb5/krb5.conf
Puede configurar archivos de configuración de Kerberos para que los
utilice un nodo de integración o servidor de integración.
El siguiente ejemplo de archivo de configuración de Kerberos muestra los valores
típicos para las variables. Las variables default_realm,
default_keytab_name y los nombres en los realms son
algunos de los valores que se cambian en el archivo de configuración, que dependen de la
red y de la ubicación del archivo de configuración.
[libdefaults]
default_realm = MYREALM.EXAMPLE.COM
default_keytab_name = FILE:c:\Windows\krb5.keytab
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.EXAMPLE.COM = {
kdc = kdc.myrealm.example.com
admin_server = kdc.myrealm.example.com
}
Por ejemplo, puedes definir las variables para
una configuración de Kerberos a nivel de
IBM App Connect Enterprise con
mqsichangeproperties integrationNodeName -o BrokerRegistry -n brokerKerberosConfigFile -v kerberosConfigLocation
Por ejemplo, puede establecer las variables para una configuración de Kerberos a nivel
de servidor de integración con
mqsichangeproperties integrationNodeName -e integrationServerName -o ComIbmJVMManager -n brokerKerberosConfigFile -v kerberosConfigLocation
- Configure un conjunto de políticas y un enlace que esté asociado al nodo SOAPRequest
para el archivo BAR que contiene el flujo de mensajes.
Resultados
Ha configurado IBM App Connect Enterprise para que funcione como cliente de un servicio protegido por Kerberos.